Анализ трафика в Wireshark
Демидова Екатерина Алексеевна
Российский университет дружбы народов
23 сентября 2023
Изучение посредством Wireshark кадров Ethernet, анализ PDU протоколов транспортного и прикладного уровней стека TCP/IP.
С помощью команды ifconfig выведем информацию о текущем
сетевом соединении.
ifconfigТак же добавив название сетевого интерфейса можно вывести информацию только о нём.
Теперь выключим сетевой интерфейс добавив команду down(с
помощью командыup его можно включить).
-aТакже можно использовать опцию -s, с помощью которой
выводится краткий список интерфейсов.
-sПервые три байта e8:f4:08 в этом адресе соответствуют индентификатору производителя. Последние три байта c4:e3:ca индентифицируют сетевой интерфейс.
Возьмем первый байт e8 и переведём его в двоичную систему. Получим 11101000. Так как последний бит ноль, то адрес является индивидуальным. А так как предпоследний бит ноль, то адрес глобально администрируемый.
Запустим wireshark и начнем захват трафика.
С помощью команды ping 192.168.1.1 пропингуем шлюз по
умолчанию.
Теперь начнём новый процесс захвата трафика и пропингуем сайт wikipedia.org.
Порт источника задан случайно, выбором из непривелигированных и незанятых портов, и равен 555882, порт назначения равен 80 - это стандартный порт HTTP.
В случае ответа порты заданы наоборот, то есть источник - 80 порт, назначение - 55582.
В разделе HTP можно увидеть ссылку на html-страницу.
В случае ответа порты заданы наоборот, то есть источник - 53 порт, назначение - 59084.
В случае ответа порты заданы наоборот, то есть источник - 443 порт, назначение - 47597.
Режим активного доступа. Во вкладке с флагами видно, что установлен бит SYN(Syn: set). Порядковый номер равен 3980370530.
Режим пассивного доступа. Во вкладке с флагами видно, что установлены биты SYN и ACK(Syn: set, Acknowldgment: set). Порядковый номер содержит значение ISSb и равен 452625189. Поле номер подтверждения равен значению ISSa, которое получил в предыдущем пакете, плюс 1, то есть 3980370531.
Завершение рукопожатия. Во вкладке с флагами видно, что установлен бит ACK(Acknowldgment: set). Порядковый номер равен ISSa+1 и равен 3980370531. Поле номер подтверждения равен значению ISSb, которое получил в предыдущем пакете, плюс 1, то есть 452625190.
На графике видно, что сначала клиент послал сообщение на сервер(стрелка вправо), а значение seq = 0. Затем сервер откликнулся(стрелка влево), значение seq = 0, а значение ack = 1. И в третьем пакете клиент оправил подтверждение получение SYN-сегмента(стрелка влево), оба значения syn и ack стали равны 1.
В результате выполнения лабораторной работы посредством Wireshark были изучены кадры Ethernet, а также проанализированы PDU протоколы транспортного и прикладного уровней стека TCP/IP.